cryptocurrency wallet drainer був у Google Play місяцями, вкрав $70 тис. : звіт

Фірма IT-безпеки Check Point Research виявила програму зливу криптовалютних гаманців, яка використовувала «передові методи ухилення» в магазині Google Play, щоб викрасти понад 70 000 доларів США за п’ять місяців.

Шкідливий додаток маскувався під протокол WalletConnect, добре відомий додаток у сфері криптовалют, який може зв’язувати різні криптовалютні гаманці з додатками децентралізованого фінансування (DeFi).

У дописі в блозі від 26 вересня компанія повідомила, що це «вперше дрейнери, націлені виключно на мобільних користувачів».

«Фальшиві відгуки та постійний брендинг допомогли додатку досягти понад 10 000 завантажень, зайнявши високі позиції в результатах пошуку», — заявили в Check Point Research.

З понад 150 користувачів було вичерпано близько 70 000 доларів — не всі користувачі додатків були ціллю, оскільки деякі не підключили гаманець або побачили, що це шахрайство. Інші, можливо, не відповідали конкретним критеріям націлювання зловмисного програмного забезпечення, заявили в Check Point Research.

Було додано, що фейкова програма була доступна в магазині додатків Google 21 березня та використовувала «передові методи ухилення», щоб залишатися непоміченою протягом п’яти місяців. Зараз його видалено.

Програма вперше була опублікована під назвою «Mestox Calculator» і кілька разів змінювалася, хоча її URL-адреса все ще вказувала на, здавалося б, нешкідливий веб-сайт із калькулятором.

«Ця техніка дозволяє зловмисникам пройти процес перевірки додатка в Google Play, оскільки автоматичні та ручні перевірки завантажуватимуть «нешкідливий» додаток-калькулятор», — заявили дослідники.

Однак, залежно від місцезнаходження IP-адреси користувача та якщо він використовував мобільний пристрій, вони перенаправлялися до серверної частини шкідливого додатка, у якому містилося програмне забезпечення для зливу гаманця MS Drainer.

Подібно до інших схем вичерпування гаманців, фальшивий додаток WalletConnect пропонував користувачам підключити гаманець — що не було б підозрілим через те, як працює справжній додаток.

Потім користувачам пропонується прийняти різні дозволи, щоб «підтвердити свій гаманець», що дає дозвіл на адресу зловмисника «передати максимальну суму зазначеного активу», повідомляє Check Point Research.

За темою: користувачі Polymarket скаржаться на таємничі атаки гаманця для входу в Google

«Додаток отримує вартість усіх активів у гаманцях жертви. Спочатку він намагається вилучити дорожчі токени, а потім дешевші», – додали в ньому.

«Цей інцидент свідчить про зростаючу витонченість тактики кіберзлочинців», — пише Check Point Research. «Шкідливий додаток не покладався на традиційні вектори атак, такі як дозволи або клавіатурний журнал. Замість цього він використовував смарт-контракти та глибокі посилання для тихого вичерпання активів, коли користувачів обманом змусили використовувати додаток».

Він додав, що користувачі повинні «обережно ставитися до програм, які вони завантажують, навіть якщо вони здаються легітимними», і що магазини додатків повинні вдосконалити процес перевірки, щоб зупинити шкідливі програми.

«Криптовалютна спільнота повинна продовжувати навчати користувачів про ризики, пов’язані з технологіями Web3», — заявили дослідники. «Цей випадок показує, що навіть на перший погляд нешкідливі взаємодії можуть призвести до значних фінансових втрат».

Google не відразу відповів на запит про коментар.

Crypto-Sec: 2 аудитори не помічають недолік Penpie на суму 27 мільйонів доларів, помилку Pythia «претензії винагороди»